计算机病毒实例剖析.ppt

计算机病毒 MyDoom病毒 2004年1月26日，一种新的病毒—MyDoom开始通过邮件传播，并对SCO、微软和波音等大公司的网站发起DDoS攻击。造成了一些大型公司，比如波音公司、SCO公司网络的瘫痪，但就像 2003年1月25日的Slammer病毒一样，由于MyDoom正值中国的春节期间爆发，当时并未给中国的企业造成巨大损失。 网速极慢，无法接收邮件，而且持续的时间相当长。 该病毒已经引起了国际反病毒厂商的高度重视，NAI公司已经将 MyDoom病毒设置为“高危险级别” 。 MyDoom病毒从破坏性和实现原理上都没有超过Slammer，它不是利用系统的漏洞，而纯粹是邮件病毒，但是，其编写技术却发生了重大改变，使得病毒呈现新的特征----病毒开始智能化! MyDoom病毒的智能化体现在： ①能通过一些关键字自己创造新的邮件地址，比如，通过关键字“John”，在前后加一些字母，然后加上、 263.com等后缀，形成新的邮件地址，然后开始通过这些新创造出来的邮件地址一个个试探性地发送病毒和垃圾邮件； ②可自动封堵一些著名反病毒公司的网站，比如NAI公司的网站，使中毒用户无法及时升级反病毒软件； ③自动探测用户计算机的端口，比如3127、8080端口，一旦发现没有被防火墙封堵的端口，就将木马和病毒程序通过这个端口置入用户计算机中，使远程攻击得逞； ④将垃圾邮件技术和病毒技术结合，利用垃圾邮件对网站进行大规模的DDoS攻击，开创了网络攻击的新模式。 该病毒的传播占全球电子邮件通信量的20％—30％，超过了诸如SoBig等蠕虫的传播速度。该病毒已超过“冲击波”成为最厉害的病毒。 从查杀MyDoom病毒本身来说，并不复杂。不像查杀 Slammer病毒，用户需要下载补丁程序，对MyDoom病毒，只需要升级病毒代码就可以了。目前，许多反病毒公司都已经研究出了病毒代码，用户只要升级了代码，并在邮件服务器中安装邮件反病毒软件，就能将该病毒消除。 MyDoom病毒的意义不在于病毒本身，而在于它从此将开创一个病毒智能化的时代。这是许多信息安全专家最为担心的事情。 Hotmail蠕虫(Worm.Hotmatom) 病毒感染计算机后，会把自己复制到“windows”目录下，病毒文件名为“dho.exe”。 病毒会修改注册表，每次打开计算机后都自动运行，然后在后台监视用户的IE浏览器。当用户登陆到MSN Hotmail发送邮件时，病毒会在发送的邮件后插入病毒文字和链接：“Hi, Happy San Valentin Day Download you Postcards from http://***.（情人节到了，去**网站下载贺卡吧）”，用户点击该链接后就会中毒。 对付：平时打开杀毒软件的实时监控并升级到最新版本查杀此类病毒，对于可疑的链接不要随便点击。 Trojan.PSW.Lmir 木马程序，一个以窃取“传奇”游戏的密码和帐号为目的的木马病毒，该病毒能通过窗口标题，进程名关闭一些反病毒软件，或防火墙软件如：Symantec AntiVirus 、 天网防火墙个人版 、天网防火墙企业版等。 病毒还会通过注册表搜索 “密码防盗专家 综合版”并且在起安装目录下搜索文件PasswordGuard.exe然后检查此文件是否已经运行，如果运行的话就将其强行结束。 病毒的主要危害为盗取用户进行游戏时登录的游戏账号密码并发送给病毒作者。 小不点木马程序(TrojanDownloader.Small) 木马程序，依赖系统：Win9X/NT/2000/XP。“小不点”木马程序是一个开启被感染计算机的后门，记录键击，盗取用户机密信息的木马程序。 “小不点”变种arl运行后，在系统目录下和Windows目录下创建大量病毒文件。修改注册表，实现开机自启。打开系统目录下的.sys病毒文件，隐藏自己在任务管理器中的进程，防止被查杀。开启指定的TCP端口，侦听黑客指令，盗取用户计算机系统信息或网络信息，发送特定邮件，访问指定站点等。 “冲击波(Worm.Blaster) ”病毒 该病毒于2003年8月11日发现，是一种新型蠕虫病毒（WORM-MSBlast.A），已经在国内互联网和部分专用网络上传播。该病毒利用微软WINDOWS操作系统的RPC漏洞，通过网络快速传播。病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机，找到后就利用DCOM RPC缓冲区漏洞攻击该系统，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染。 一、冲击波(Worm.Blaster)蠕虫病毒症状： 1．电脑不能正常复制粘贴，WORD、EXCEL、POWERPOINT等文件无法正常执行，弹出找不到文件的对话框，一些软件功能无法正常使用。 2．系统网络连接数增大